內容簡介
本書從信息安全有關的法律法規,行政、技術和工程管理等方面精辟地闡述了信息安全管理的理論、方法和工程實踐,包括從信息安全角度識別信息系統及資源的方法和分類原則,識別並針對信息系統資源的脆弱性、威脅、影響等因素進行風險管理的過程,識別與對抗風險的理論與方法,以及從資源分析、風險分析與評估、安全需求分析到安全保護策略和措施選擇的工程實踐和實務操作等。
本書是“全國信息技術人才培養工程教材”之壹,適於用作與信息技術和信息安全相關專業本科生、研究生的教材,也是相關專業從業人員值得優選的參考書。
目錄: 1 信息安全概述
1.1 信息安全的總體要求和基本原則
1.1.1 總體要求
1.1.2 基本原則
1.2 信息安全管理的範圍
1.2.1 信息基礎設施
1.2.2 信息安全基礎設施
1.2.3 基礎通信網絡
1.2.4 廣播電視傳輸網
1.2.5 信息系統
1.3 安全管理在信息安全保障中的地位和作用
2 信息安全管理和組織機構
2.1 信息安全管理的基本問題
2.1.1 信息系統生命期安全管理問題
2.1.2 信息安全中的分級保護問題
2.1.3 信息安全管理的基本內容
2.2 信息安全管理的指導原則
2.2.1 策略原則
2.2.2 工程原則
2.3 安全過程管理與0SI安全管理的關系
2.3.1 安全管理過程
2.3.20SI管理
2.3.3OSl安全管理
2.4 信息安全管理的組織機構
2.4.1 行政管理機構
2.4.2 信息安全服務與技術管理機構
3 信息安全管理要素與管理模型
3.1 概述
3.1.1 信息安全管理活動
3.1.2 安全目標、方針和策略
3.2 與安全管理相關的要素
3.2.1 資產
3.2.2 脆弱性
3.2.3 威脅
3.2.4 影響
3.2.5 風險
3.2.6 殘留風險
3.2.7 安全措施
3.2.8 約束
3.3 管理模型
3.3.1 安全要素關系模型
3.3.2 風險管理關系模型
3.3.3 基於過程的信息安全管理模型
3.3.4PDCA模型
4 信息系統生命周期的安全管理
4.1 安排和規劃
4.1.1 組織的信息安全策略
4.1.2 信息安全的組織
4.1.3 風險分析方法
4.2 管理的技術方法
4.2.1 信息安全的目標、方針和策略
4.2.2 組合風險分析法
4.3 安全措施的選擇與實施
4.3.1 基礎性評估
4.3.2 安全措施
4.3.3 根據信息系統類型選擇基線安全措施
4.3.4 根據安全重點和威脅選擇安全措施
4.3.5 根據詳細風險評估選擇安全措施
4.3.6 安全措施的實施
4.3.7 安全意識
4.4 後續活動
4.4.1 維護安全措施
4.4.2 安全遵從性
4.4.3 監控
4.4.4 事件處理
5 管理要求與人員安全
5.1 概述
5.2 信息安全策略
5.2.1 信息安全策略文檔
5.2.2 評審與評估
5.3 組織對安全的管理
5.3.1 信息安全管理的基礎結構
5.3.2 第三方訪問的安全問題
5.3.3 委外管理
5.4 人員安全
5.4.1 崗位定義和資源分配的安全
5.4.2 用戶培訓
5.4.3 對安全事件和故障的響應
5.5 符合性要求
5.5.1 符合法律要求
5.5.2 符合安全策略和技術標準
5.5.3 系統審計方面的考慮
6 資產分類與物理安全管理
6.1 資產分類與管理
6.1.1 資產分類與責任落實
6.1.2 信息分類與標記
6.2 物理和環境安全
6.2.1 安全區域
6.2.2 設備安全
6.2.3 日常性控制措施
7 運行安全管理
7.1 網絡安全管理
7.1.1 概述
7.1.2 任務
7.1.3 識別和分析
7.2 通信和操作管理
7.2.1 操作程序和責任
7.2.2 系統規劃和驗收
7.2.3 脆弱性和補丁
7.2.4 防範惡意軟件
7.2.5 內務處理
7.2.6 網絡管理
7.2.7 介質處理和安全
7.2.8 信息和軟件的交換
7.3 訪問控制
7.3.1 訪問控制的策略
7.3.2 用戶訪問管理
7.3.3 用戶職責
7.3.4 網絡訪問控制
7.3.5 操作系統訪問控制
7.3.6 應用系統訪問控制
7.3.7 監控系統訪問與使用
7.3.8 移動計算和遠程工作
7.4 系統開發和維護
7.4.1 系統的安全需求
7.4.2 應用系統中的安全
7.4.3 加密控制
7.4.4 與工程有關的系統文件安全
7.4.5 開發和支持進程的安全
7.5 業務持續性管理
7.5.1 業務持續性管理
7.5.2 業務持續性和影響的分析
7.5.3 制訂和實施持續性計劃
7.5.4 業務持續性計劃框架
7.5.5 測試、維護和再評估業務持續性計劃